Una ricerca condotta da Netcraft ha rilevato che di fronte alla richiesta di indicare i siti web ufficiali di aziende note, i chatbot AI forniscono URL errati in un terzo dei casi, aprendo la strada a crimini informatici e attività malevole di phishing.
Durante lo studio i ricercatori hanno testato la famiglia di modelli di GPT-4.1 con richieste relative a brand attive nei settori della finanza, retail, tech e utilities. Su 131 risposte relative a 50 brand, il 34% dei domini indicati è risultato errato: il 29% era inattivo o non registrato, il 5% rimandava a siti non correlati. Secondo Netcraft, questo tipo di errore può essere sfruttato da gruppi di phishing, che possono registrare i domini errati suggeriti dall’AI e usarli a scopo di truffa. I modelli linguistici, infatti, associano parole chiave senza valutare la reputazione o la validità degli URL.
Rob Duncan, che ha guidato la ricerca, ha spiegato che i cybercriminali stanno adattando le loro strategie all’uso crescente dei chatbot AI al posto dei motori di ricerca, costruendo siti fasulli progettati per apparire nei risultati degli LLM e sfruttando la fiducia degli utenti nelle risposte generate. Ne è un esempio l’attacco contro l’API della blockchain Solana, in cui i truffatori hanno creato una falsa interfaccia, supportata da documentazione fittizia su GitHub e da profili social apparentemente credibili. Duncan ha tracciato un parallelo con gli attacchi alla supply chain, suggerendo che la strategia punti a sfruttare chi adotta il ‘vibe coding’, ovvero quella pratica di programmazione che si basa più sull’intuizione che sulla verifica sistematica delle risorse utilizzate.
Leggi l’articolo completo: ChatGPT creates phisher’s paradise by serving wrong URLs su The Register
Immagine generata tramite DALL-E 3. Tutti i diritti sono riservati. Università di Torino (2025).
